Hvorfor etterforsket PST hackerangrepet mot dammen på Risevatnet?

PST sa de ville undersøke om hendelsen på Risevatnet var utført på vegne av en fremmed stat som en del av en påvirkningsoperasjon. Men, hva slags påvirkning mener PST-sjefen hendelsen forårsaket? Hvilke indikasjoner på statlig tilknytning sikter PST til? Hva ble sabotert? Og hvorfor holder PST navnet på gruppa hemmelig?

Ole K. Fostad
Hvorfor etterforsket PST hackerangrepet mot dammen på Risevatnet?

Skjermbilde fra videoen av styringspanelet på dammen på Risevatnet. Bildet viser starten av videoen. Det er lett å se vannmerket til hackergruppa Z-Pentest

Tre dager etter at hackerangrepet på dammen på Risevatent i Bremanger ble kjent i juni i fjor, opplyste NRK at PST ville ta over saken fra politiet.1

De ville undersøke om hendelsen var utført på vegne av en fremmed stat som en del av en påvirkningsoperasjon. Samme dag som hendelsen fant sted ble det publisert en video med skjermopptak fra kontrollpanelet på dammen i Telegramkanalen til ei pro-russisk hacktivistgruppe. Videoen var påført vannmerket til gruppa.

To måneder senere trakk PST-sjef Gangås fram hendelsen mens hun snakket om påvirkning og sabotasje på Arendalsuka.2 VG kalte hendelsen “dam-sabotasje” og NRK opplyste at PST-sjefen sa at de hadde henta inn nok bevis til å konkludere med at det var en statlig aktør som sto bak.3

I tillegg sa hun at hensikten med denne typen aksjoner er å bidra til påvirkning, samt skape frykt eller uro i landets befolkning. Det er typisk modus at en statlig aktør for eksempel bruker aktivistgrupper til å ta seg inn, nettopp for å vise «se hva vi kan gjøre hvis vi vil». Så går de ut og skryter av det etterpå, sa hun.

I begynnelsen av oktober henla PST saken.

Men, hva slags påvirkning mener PST-sjefen at dette forårsaket? Hvilke indikasjoner på statlig tilknytning sikter PST til? Hva ble sabotert? Og hvorfor holder PST navnet på gruppa hemmelig?

Uaktsomt?

En ukjent person fikk tilgang til et panel som styrer en ventil i dammen ved utløpet av Risevatnet i Svelgen i april 2025. Den uvedkomne åpnet minstevannføringsventilen og vannføringen i Riselva ble økt med 497 liter i sekundet til 874 liter i sekundet i omtrent fire timer, ifølge teknisk leder i driftsselskapet.4 Han sa også at den ukjente trolig fikk tilgang på grunn av et svakt passord, og at hendelsen ikke hadde skadepotensial, dammen er dimensjonert for en flomvannføring på 20 000 liter i sekundet. Drøyt 4% av kapasiteten ble brukt.

Hensikten med dammen er å regulere vannutstrømmingen i elva så det landbaserte settefiskanlegget til Steinvik fiskefarm kan tappe opp til 600 liter i sekundet fra Risevatnet. Tappinga skjer fra et inntak en halv kilometer sør for dammen.

Dammen er en enkel terskeldam uten flomluker.5 Den er bygd med en fisketrapp slik at fisk som vandrer opp elva for å gyte kan passere. I tillegg går det et rør med en diameter på 60 cm under dammen som sørger for at kravene til minstevannføring kan overholdes.6 Dette røret er utstyr med en regulerbar ventil som det er mulig å fjernstyre fra et styringspanel som er tilgjengelig på internett.

Dammen på Risevatnet med målerenne, fisketrapp og ventilhus til venstre og terskeldammen til høyre. I målerenna strømmer vannet fra fisketrappa og minstevannføringsføret. Vannføringa i målerenna på bildet er omtrent 600 liter i sekundet. Under angrepet strømmet det omtrent 40% mer vann i renna, rundt 850 liter i sekundet, ingen ting over terskelen. Flomberegningen baserer seg på at vannstanden når opp til den røde linjen, 2,23 meter over terskelen. Minstevannføringsrøret har en diameter på 60 cm.

Hvis angriperen hadde stengt ventilen i stedet for å åpen den, ville vannføringen blitt redusert til gjennomstrømningen i fisketrappa, rundt 270 liter i sekundet,7 den samme verdien som Norconsult beregnet at minstevannføringen burde vært.89 Konsekvensen ville også i dette tilfellet vært liten, selv om det ville medført konsesjonsbrudd.

Men, hvis angriperen også hadde stengt luka i fisketrappa ville det ikke vært vann i elva. Under byggingen av dammen ble elva tørrlagt i to og en halv time. Stenvik Fiskefarm fikk overtredelsesgebyr for brudd på konsesjonen. Gebyret på 400 000 kroner ble begrunnet med uaktsomhet.10

Paragraf 5 i vannressursloven er en generell aktsomhetsparagraf som sier at alle skal opptre aktsomt for å unngå skade eller ulempe i vassdraget. Tiltak skal planlegges og gjennomføres slik at de er til minst mulig skade og ulempe for allmenne og private interesser og fylle alle krav som med rimelighet kan stilles til sikring mot fare for mennesker, miljø eller eiendom.11

Paragraf 3 i den mer kjente vegtrafikkloven ligner: Alle skal ferdes hensynsfullt og være aktpågivende og varsomme så det ikke kan oppstå fare eller voldes skade slik at annen trafikk blir unødig hindret eller forstyrret.

Forsikringsselskap regner det for eksempel som grovt uaktsomt å gå fra bilen med nøkkelen i tenningslåsen eller inne i bilen. De mener det er en invitasjon til uærlige sjeler som er på jakt etter et nytt fremkomstmiddel, og hvis bilen blir stjålet kan forsikringen bli kraftig avkortet.12

Både teknisk leder og PST antar at årsaken til at uvedkomne fikk tilgang til styringspanelet til ventilen var “svakt passord”. Styringspanelet til ventilen var tilgjengelig over internett ved hjelp av “Virtual Network Computing” (VNC), et system som gjør det mulig å overføre skjermbilder, tastatur og museklikk.

I 2022 gav cybersikkerhetsfirmate Cyble ut en rapport som pekte på sikkerhetsproblem ved bruk av VNC.13 I mai 2024 sendte myndighetene i USA og Canada ut et faktaark der de advarte om onskapsfull cyberaktivitet i Nord-Amerika og Europa fra pro-russiske haktivistgrupper som utnyttet standard VNC-passord på internetteksponerte kontrollenheter. De oppfordret til umiddelbart å endre passord til alle kontrollsystemenheter med standarpassord, inkludert programerbare logiske kontrollere (PLC) og styringspanel (HMI).14 Den amerikanske cyberforsvarsenheten, CISA, sendte ut en advarsel i september 2024 der de spesielt advarte om at de fortsatt responderte på angrep mot internetteksponerte enheter med standard passord i vann og avløpssektoren.15

Faksimile fra Jyllandsposten 24 januar 2025.

“Koden var 1234” var overskriften på en artikkel i den danske avisa Jyllandsposten i januar 2025. Et vannverk i Køge, sørvest for København, hadde blitt angrepet av prorussiske hackere fra gruppen Z-Pentest.16 Foreningen for danske vannværk gav en konsis beskrivelse av hvordan angrepet hadde foregått:

“Pumpestyringssystemet var opsat med fjernadgang via et standardmodem fra en teleudbyder, og med fast IP-adresse var der lavet en portforward, som gjorde systemet tilgængeligt via VNC-viewer med en simpel 4-cifret pinkode.”17

I manualen for fjerntilkobling til styringspanelet til dammen på Risevatnet står standardpassordet oppgitt: “1234”.18 Nøkkelen sto i.

Fra manualen for å sette opp VNC-tilkobling til styrepanelet.

Hva visste PST da de tok over saken?

Det som er kjent om angrepet er informasjonen i den publiserte Telegram-videoen av styringspanelet. Klokka på styringspanelet var 12:57, 7. april 2025 i det videoen starter. Alarmlista viser at pålogging ikke blir registrert på enheten. Panelet var koblet direkte på internett, noe som betyr at det ikke finnes logger som viser hvor påloggingen kom fra eller når den først skjedde.

Videofilen med skjermopptaket ble opprettet klokka 11:37, minst 20 minutter før klokkeslettet i videoen, sannsynligvis 1 time og 20 minutter før, det mangler tidssoneinformasjon. Det er lite sannsynlig at videoopptaket ble startet før den uvedkomne hadde tilgang til panelet.

Skjermtastaturet som blir vist i videoen er laget med “iX2 HMI software” fra Beijer.19 Programvaren brukes til å programere “X2 control” styringspanel.20

Styringspanelet med internett tilkobling og "svakt passord".

Oversiktsbildet som videoen begynner med viser at vannivået i Risevatnet var 25,39 meter, 3 centimeter under terskelen på dammen. Det strømmet knapt 200 liter i sekundet gjennom minstevannføringsrøret og rundt 500 liter i sekundet gjennom målerenna. Målerenna viser totalvannføringa når vannivået er under terskelen på dammen. Vannføringa som måles i renna er summen av vannstrømmen gjennom fisketrappa og minstevannføringsrøret. Bildet viser også at det ble tappet omtrent 470 liter i sekundet til settefiskanlegget.

Den uvedkomne justerte fire verdier for kalibreringen og nivå. Resulatet førte ikke til endring i vanngjennomstrømning. Deretter åpnet angriperen minstefannføringsventilen. Det resulterte i en økning i vannstrømmen fra 200 til rundt 600 liter i sekundet gjennom minstevannføringsrøret, en økning på omtrent 400 liter i sekundet. Luka i fisketrappa sto allerede åpen.

Strategien angriperen benyttet ved justering av verdiene var å taste inn så mange 9-tall som mulig i konfigurasjonsfelt.

Videoen viser også vannmerket til den prorussiske hackergruppa Z-Pentest.

Bevis for statlig påvirkning?

Cybersikkerhetsfirmaet Mandiant publiserte en rapport om den russiske hackergruppa Sandworm i april 2024.21 Dette er gruppa som antageligvis sto bak angrepene på det ukrainske kraftenettet i 2015 og 2016,22 samt en rekke andre profilerte cyberangrep. Både amerikanske og britiske myndigheter mener at gruppa er støttet av russiske myndigheter,2324 mer spesifikt av enhet 74455 (GTsST) i hoveddiretoratet for den militære etterretningstjenesten (GRU).25

Ifølge rapporten bruker Sandworm hacktivistkanaler på Telegram til å få oppmerksomhet om påvirkningen av angrepene sine. En av kanalene Mandiant pekte på var “CyberArmyofRussia_Reborn” (CARR). De mente å kunne vise at Sandworm hadde evne til å påvirke operasjonene til CARR direkte.

En måned etter at energiteknikk rapporterte om hendelsen på Risevatnet, tok påtalemyndigheten i California ut tiltale mot 15 medlemmer av CARR. Ifølge tiltalen er “Z-Pentest” et alternativt navn for gruppa.26 Tiltalen ble tatt ut fordi enkelte av angrepene til gruppa hadde ført til skade med økonomisk tap i USA, og fordi ett medlem av gruppa var arrestert i utlandet og ble utlevert.

Gruppa CARR ble dannet i slutten av februar eller tidlig i mars 2022, kanskje inspirert av opprettelsen av “IT Army of Ukraine”. I følge tiltalen var en aktør med kallenavnet “Cyber_1ce_killer” (CYBER_ICE) aktiv i startfasen og opprettet blant annet Instagram- og Twitterkonto og en YouTube-kanal for gruppa.

CARR utførte til å begynne med tjenestenektangrep (DDoS) og senere også angrep mot internetteksponerte kontrollsystem. I følge tiltalen pekte CYBER_ICE ut enkelte angrepsmål og finansierte abonnementet til CARR hos en DDoS leverandør.27

I slutten av mars 2024 meddelte CYBER_ICE i følge tiltalen at organisasjonen han representerte ikke ville finansiere DDoS tjenesten CARR abonnerte på lenger, både fordi de ikke gjorde noe skade, og fordi de ikke trengte DOS når de skjøt raketter mot Kiev. Han ville i stedet fokusere på å ødelegge informasjonssystemene til fienden. Etter dette tidspunktet nevner ikke tiltalen handlinger utført av CYBER_ICE.

Tiltalen hevder også at kallenavnet CYBER_ICE er knyttet til en etterretningsoffiser i GRU. Det er ikke beskrevet noen hendelser som viser GRU-tilknytningen.

Et halvt år etter at CYBER_ICE avsluttet støtten til DDoS-abonnementet, i september og oktober 2024, skal flere av de tiltalte ha omtalt CYBER_ICE og karaktrisert han som en myndighetsperson. Tiltalen sier at de trodde CYBER_ICE hadde tilknytning til FSB, innenlandsetteretningen i Russland.28

I september dannet medlemmer av CARR ei ny gruppe, Z-Pentest, sammen med medlemmer fra en annen russisk hacktivistgruppe, NoName057(16). Tiltalen sier ikke noe om hvordan CYBER_ICE ble omtalt, men omstendighetene gir grunn til å tro at omtalen ikke var positiv. FBI med flere vurderte at årsaken til opprettelsen var misnøye med støtten fra GRU.

Z-Pentest skiller seg fra CARR på et interessant punkt. Gruppa utfører ikke DDos angrep, men kun opportunistiske angrep mot kontrollsystem. Finansieringen av DDoS abonnement er derfor ikke relevant for dem. De angriper system med svak sikring der de finner dem og ikke system de velger ut av strategiske årsaker. Det betyr at ingen av påvirkningsmetodene russisk etterretning skal ha benyttet til å styre CARR vil ha virkning på gruppa.

“Z-Pentest Alliance” kunngjorde på Telegramkanalen sin i slutten av mars 202529 at de hadde inngått en allianse med Sandworm.30 Dette ble også rapportert av cybersikkerhetsfirmaet Intel471.31 Drøyt tre uker senere var denne alliansen slutt. Z-Pentest hevdet da at Sandworm ikke lenger var en uavhengig enhet, men at de var en del av Z-Pentest alliansen. Sandworm tjente nå dem.32

Det er ikke mulig å tro på at en avansert gruppe som er en del av russisk etterretning nå blir styrt av hacktivister som bryter seg inn ved å taste passordet 1234 og taster 9-tall i konfigurasjonsfelt. Det er åpenbart bare skryt.

I Telegramkanalen til Z-Pentest Alliance kan du også finne tre poster merket med #OpNorway.33 En av dem er en fire minutter lang skjembildevideo fra styringspanelet til dammen på Risevatnet.34

Strategien til angriperen var enkel. Tast inn 9-tall der det var mulig.

Hva fagmiljøene sier

I begynnelsen av desember i 2025 gav FBI samen med politi- og cybersikkerhetsenheter fra en rekke land ut råd sammen.35 Rådet handlet om de prorussiske gruppene Cyber Army of Russia Reborn (CARR), Z-Pentest, NoName057(16) og Sector16 som utnyttet internetteksponerte VNC-tilkoblinger med minimal sikring i lite sofistikerte angrep med liten konsekvens.

De beskriver Z-Pentest som en gruppe sammensatt av medlemmer fra CARR og NoName057(16). Gruppa ble etablert i September 2024 og har spesialisert seg på å angripe kontrollsystem i kritisk infrastruktur spredt over hele verden. De kunngjorde allianse med gruppene CARR og NoName057(16) kort tid etterpå, muligens for å kunne få flere følgere.

Gruppene søker først og fremst oppmerksomhet og selv om de enkelte ganger har forårsaket skade, kommer de jevnlig med feilaktige eller overdrevne påstander om angrepene sine. I tillegg er de opportunistiske i målutveldgelsen og velger offer ut fra tilgjengelighet og eksisterende sårbarheter i stedet for å fokusere på strategisk viktige mål. De har begrenset teknisk kunnskap og misforstår ofte prosessene de forsøker å påvirke.

Alt dette i følge det nevnte rådet.

FBI gav ut råd sammen med en rekke andre organisasjoner til eiere av kontrollpanel med passord 1234. Hverken PST, Kripos NC3 eller NSM var med.

Hvilket lovbrudd?

Skadeverksparagrafen i straffeloven angir straff for den som “gjør ubrukelig eller forspiller en gjenstand som helt eller delvis tilhører en annen”.36

Hendelsen medførte ingen skade eller tap.

Magasinet på Risevatnet har en størrelse på 3,1 millioner kubikkmeter og det rant ut mindre enn 6-7000 kubikkmeter i tillegg til minstevannføringa. Nå er det ikke helt klart for meg hvem som eide vannet som rant ut, men settefiskanlegget har tillatelse til å ta ut 510 liter i sekundet i gjennomsnitt. De 4-500 litrene i sekudet som forsvant i knappe fire timer kunne i en tenkt ytterste konsekvens ha ført til at anlegget måtte stenge ned 3 - 4 timer tidligere hvis vannstanden i Risevatnet ble lav.

Straffeloven har to paragrafer i kapitlet om vern av informasjon og informasjonsutveksling som kanskje kunne vært brukt i saken. Det er straffbart å uberettiget anskaffe eller besitte passord som kan gi tilgang til databasert informasjon eller datasystem.37

Sannsynligvis var passordet det samme som leverandøren av styringspanelet hadde oppgitt i manualen sin. Det virker veldig søkt om det skulle være straffbart å anskaffe eller å være i besittelse av en manual.

Den siste muligheten i straffeloven er at det er straffbart å bryte en beskyttelse eller ved annen uberettiget framgangsmåte skaffe seg tilgang til et datasystem.38 Denne paragrafen er sannsynligvis relevant, selv om det nok kan være tvil om et standardpassord kvalifiserer som beskyttelse.

Påvirkning - av hvem?

Bakgrunnen for at PST mente at det var dem som skulle etterforske saken er den nye paragraf 130 i straffeloven. Den omhandler påvirkning fra fremmed etterretning og sier at det er straffbart å bidra i virksomhet som har til formål å påvirke beslutninger eller den allmenne meningsdannelsen på vegne av eller etter avtale med en fremmed etterretningsaktør når dette kan skade betydelige samfunnsinteresser.39

I beskrivelsen av trusselbildet i lovforslaget er det listet opp hvordan påvirkningen kan foregå.40

Sofistikert og målrettet digital statlig påvirkning kan skje ved bruk av en rekke medier, statlige, falske og tilsynelatende uavhengige, ved automatisk utsendelse av meldinger og innlegg i stort omfang med både informasjon og desinformasjon, ved bruk av personer som blander seg i debatter under falsk identitet, samt med datanettverksoperasjoner og lekkasjer av kompromitterende eller sensitive opplysninger.

Det står også at det heller ikke er ukjent at ikke-statlige grupper eller organisasjoner gjennomfører påvirkningsoperasjoner på vegne av en stat.

Forslaget oppgir også at formålet med fremmede staters påvirkningsaktivitet typisk vil være å påvirke en konkret avgjørelse eller generell politikkutforming, eller å endre rammevilkårene for beslutningstakere til fordel for egne nasjonale interesser. En fremmed stat kan for eksempel forsøke å skape generell usikkerhet, forvirring og kaos i samfunnet, slik at myndighetenes beslutningsevne svekkes, står det.

Fyller hendelsen på Risevatnet kriteriene til en påvirkningsoperasjon rettet mot Norge?

Styringspanelet var tilgjengelig på internett med kjent utnyttbar teknologi og passord fra brukermanualen. Etter inntrengningen tastet den uvedkomne 9-tall i tilsammen seks felt. Målet ble valgt av samme grunn, det lå lagelig til for hugg med standard passord på internett. Det tyder ikke på at det ble valgt verken fordi det ligger i Norge eller fordi det var vanntilførsel til et settefisksanlegg.

Operasjonen var hverken sofistikert eller målrettet. Informasjonen som ble publisert var ikke sensitiv eller kompromitterende. Hendelsen har heller ingen overføringsverdi som trussel mot f.eks. strømforsyningen. Kontrollanlegg i kraftforsyningen er ikke internetteksponerte.41

Det var ingen konkret avgjørelse som skulle tas her i landet som kan knyttes til hendelsen. Hvis angrepet skal kunne ses på som et forsøk på å påvirke politikkutforming eller rammevilkår i Norge, er det nærliggende å tenke på den manglende etterlevelsen av aktsomhetsparagrafen i vannressursloven, og kankje også en generell påpekning av at det er risiko ved bruk av sårbare internettkoblinger med standardpassord, spesielt i teknologi som styrer vannforsyning.

Det er imidlertid veldig vanskelig å se hvordan det skulle være mulig for Russland å dra nytte av noe av dette.

PST-sjefen sa at hensikten med denne typen aksjoner er å bidra til påvirkning, samt skape frykt eller uro i landets befolkning. Hun sa at det er typisk modus at en statlig aktør bruker for eksempel aktivistgrupper til å ta seg inn, nettopp for å vise «se hva vi kan gjøre hvis vi vil». Så går de ut og skryter av det etterpå.

Aksjoner for å skape frykt eller uro i befolkningen har tradisjonelt vært forbundet med bruk av noe mer oppsiktsvekkende metoder enn å slippe litt vann ut i ei elv.42 Hendelsen i seg selv skapte ingen generell usikkerhet, forvirring og kaos i samfunnet her i landet. Og det er ingen tegn som tyder på at hendelsen svekket beslutningsevnen til myndighetene i Norge i forhold som angår Russland.

Når PST-sjefen påstår at hensikten med aksjonen er å bidra til påvirkning, samt skape frykt eller uro i landets befolkning, så påstår hun at hun kjenner intensjonen til gjerningspersoner hun ikke vet hvem er. Det er en utrolig evne.

Mange av postene i Telegramkanalen er skrevet bare på russisk. Det gjør det sannsynlig at aktiviteten har til hensikt å påvirke i Russland.

Hvorfor så hemmelig?

Like etter at PST offentliggjorde konklusjonen om en knytning mellom den pro-russiske cyberkriminelle gruppa og russiske myndigheter, ba jeg PST om å få opplyst navnet til gruppa. Det ville gjøre det mulig å vurdere saken på en god måte for virksomheter som kunne være utsatt og gi mulighet til å dra nytte av kunnskapen til det internasjonale cybersikkerhetssamfunnet.

PST avslo umiddelbart: «PST har ikke mulighet til å utdype nærmere våre uttalelser om cyberangrep og påvirkningsoperasjoner mot Norge utført av pro-russiske aktører. Vi viser til vår ugraderte trusselvurdering fra 2025 hvor temaene blir omtalt. Disse vurderingene vedrørende påvirkning og cybertrusselen er fortsatt gjeldende.»

Jeg klagde og fikk 16. september nytt avslag. Politiadvokaten begrunnet det med at det ikke var ubetenkelig å gi innsyn slik saken sto og at det ikke var særlig grunner til å offentliggjøre navnet.

Avslaget var lite konstruktivt. Mange bedrifter, spesielt innen kraftsektoren og vann og avløp var bekymret for trusselen og vurderte hvilke tiltak de skulle sette inn. Kunnskap om hvem som hadde utført angrepet ville gjort det lett for dem å vurdere om gruppa var en trussel eller ikke.

To uker senere henla PST saken uten å opplyse om hvem som sto bak.

Hemmeligholdet til PST svekker tilliten til arbeidet de gjør. Videoen med informasjon om hvilken gruppe det dreide seg om lå offentlig tilgjengelig på meldingstjenesten Telegram. Cybersikkerhetsfirmaet Radiflow opplyste både om navnet til gruppa og hadde et utdrag av videoen liggende tilgjengelig i en artikkel fra 1. juli 2025.43

Hvem forsøker PST å skjule informasjonen for? Hva oppnår de med det?

Det mest nærliggende svaret på det første spørsmålet er norsk offentlighet og norske beslutningstakere, alle andre relevante parter er kjent med informasjonen. Da blir ikke PST sett i kortene og det åpner for at de kan utnytte posisjonen sin og briljere med “trusselkommunikasjon”44 i lukkede fora, i ytterkanten av det som er tillatt.45

Hvorfor etterforsket PST?

I følge NRK-artikkelen i juni uttalte politiadvokat Niklas Hafsmoe i PST at de ville undersøke om “hendelsen” på Risevatnet var utført på vegne av en fremmed stat som en del av en påvirkningsoperasjon.

To måneder senere kalte VG hendelsen “dam-sabotasje”. PST-sjef Gangås trakk fram hendelsen mens hun snakket om påvirkning og sabotasje på Arendalsuka.2 NRK fulgte opp samme dag med “damsabotasje” i overskriften. De opplyste også at PST-sjefen sa at de hadde henta inn nok bevis til å konkludere med at det var en statlig aktør som sto bak.46

Da saken ble henlagt to måneder senere, rapporterte NRK at også politiadvokat Hafsmoe og PST mente at hendelsen var en “dam-sabotasje”.47 NTB fulgte opp og rapporterte at “lukkesystemet(sic) i en demning ble sabotert i fire timer”.48

Encyclopedia Britannica forklarer at sabotasje er “bevisst ødeleggelse av eiendom eller forsinkelse av arbeid med den hensikt å skade en virksomhet eller et økonomisk system eller svekke en regjering eller nasjon i en nasjonal krisesituasjon.”49

I saken påtalemyndigheten i Finnland anla mot tre av mannskapet på oljetankeren “Eagle S” som hadde kuttet forbindelsen i fire fiberkabler og en strømkabel mellom Finland og Estland ved å slepe ankeret sitt på bunnen, bemerket tingretten at saken hverken oppfylte lovens krav til sabotasje eller grov sabotasje fordi det ikke var avbrudd i hverken strømforsyning eller kommunikasjon.50

På Risevatnet ble ingen ting ødelagt, ingen ting gikk tapt, ingen ting ble stoppet, ingen ting ble forsinket.

Knytningen PST gjorde mellom Z-Pentest og statlige russiske aktører baserer seg enten på at PST har trodd på skrytet til gruppa om at den etteretningstilknyttede Sandworm nå tjener dem, eller at de misforsto tiltalen mot CARR-medlemmene.

Tiltalen opplyser at den antatte etteretningsagenten, CYBER_ICE, forlot CARR et år før hendelsen på Risevatnet. Etterretningen og CYBER_ICE var opptatt av finansiering og styring av DDoS angrep, men teknikken ble ikke brukt av Z-Pentest. Uavhengig av om Z-Pentest er et alternativt navn for CARR slik tiltalen hevder, eller om gruppa ble opprettet for å unngå påvirkning fra etterretningen slik FBI med flere vurderer, så inneholder ikke tiltalen opplysninger om mulig bevis for at Z-Pentest er knyttet til etterretning.

PST var informert om angrepet fra det ble anmeldt. Men de startet merkelig nok ikke etterforskningen sin før det ble allminnelig kjent gjennom oppslaget til energiteknikk, mer enn to måneder etter at hendelsen fant sted.51

Årsaken til at PST ønsker å kalle hendelsen sabotasje og å knytte sabotasjen til russisk etterretning fikk vi lenger ned i NRK-artikkelen. PST skrev i den nasjonale trusselvurderingen for 2025 at de vurderte det som sannsynlig at russisk etterretning vil forsøke å utføre sabotasjeaksjoner i Norge.52 Sannsynlig betyr at PST tror at det er “god grunn til å forvente” eller 60 - 90 prosents sjanse for at det skal skje.53

Siden russisk etterretning ikke haddde gjennomført sabotasjeaksjoner på norsk jord siden frigjøringen av Finnmark i 1944, og det ikke fantes kjente opplysninger som tydet på at russisk etterretning hadde pekt ut Norge som mål for slike aksjoner, virket forutsigelsen etterretningsfaglig tynt forankret.

Hendelsen gav PST en mulighet til selv å sørge for at spådommen de kom med gikk i oppfyllelse. De hadde predikert sabotasjeangrep fra russisk etterretning. Da ble det veldig fristende å definere vann i ei elv som sabotasje - uten konsekvens. Noen med innflytelse så denne muligheten da saken ble kjent.

Jeg har også en prediksjon. Det er sannsynlig at norske politiske beslutningstakere får høre mye om fortreffeligheten til spådommen og trusselen fra sabotasje uten konsekvens i lukkede fora i tida framover.54 Det gir igjen grunn til å tro at det også er sannsynlig at store ressureser vil bli satt inn i bekjempelsen av spøkelser sett ved høylys dag.55

Referanser

  1. Vil undersøke om hendinga er utført på vegner av ein framand stat, Publisert 13. juni 2025: https://www.nrk.no/vestland/kripos-og-pst-om-hacking-av-damventil_-vil-undersoke-om-hendinga-er-utfort-av-ein-framand-stat-1.17454156 ↩︎

  2. PST-sjefen: Mener russere sto bak norsk dam-sabotasje, 13. august 2025: https://www.vg.no/nyheter/i/mPJaE4/pst-sjefen-mener-pro-russiske-hackere-sto-bak-cyberangrepet-mot-damanlegget-i-bremanger ↩︎ ↩︎

  3. PST meiner prorussiske hackarar står bak damsabotasje: – Må vere budd på meir, Publisert 13. aug. 2025: https://www.nrk.no/vestland/pst-peiker-pa-prorussiske-hackarar-etter-damsabotasje-1.17526400 ↩︎

  4. Hackere åpnet ventil på fullt ved dam-anlegg, tirsdag 10. juni 2025: https://energiteknikk.net/2025/06/hackere-apnet-ventil-pa-fullt-ved-dam-anlegg/ ↩︎

  5. Risevatn reguleringsanlegg, Bremanger kommune. Dispensasjon frå krav til senking av magasin i fare- eller ulykkessituasjon - vedtak, dato 09.01.2018 ↩︎

  6. Vassdragskonsesjon, vannuttak og regulering av Risevatnet til landbasert oppdrett av fisk, 18.12.2019: https://webfileservice.nve.no/API/PublishedFiles/Download/201100983/2994254 ↩︎

  7. I videoen til Z-Pentest viser de en gjennomstrømining i minstevannsføringsrøret på knapt 600 liter i sekundet. Teknisk leder oppgav at det randt 870 liter i sekundet gjennom anlegget mens ventilen sto helt åpen. Det gir 270 liter i sekundet gjennom fisketrappa. Dette stemmer bra med den beregnede verdien på 245 liter i sekundet ved laveste regulerte nivaå, vannstanden var nær høyeste regulerte nivå under hendelsen. ↩︎

  8. Norconsult, notat nr.: 2, oppdragsnr.: 5134519: til NVE. Steinvik fiskefarm - Endring av minstevannføring, dato 2014-02-13 ↩︎

  9. NVE: Steinvik Fiskefarm AS – Planendringssøknad om tillatelse til redusert slipp av minstevannføring i Riseelva, Bremanger kommune, Sogn og Fjordane – oversendelse av NVEs vedtak, dato: 13.02.2015 ↩︎

  10. Vedtak om overtredelsesgebyr – brudd på konsesjonsvilkår om minstevannføring i Riselva – Steinvik Fiskefarm AS, Bremanger kommune, dato: 08.01.2019 ↩︎

  11. Lov om vassdrag og grunnvann (vannressursloven): https://lovdata.no/dokument/NL/lov/2000-11-24-82 ↩︎

  12. Gjør du dette i varmen – da kan bilen forsvinne, Publisert 22.06.2023: https://www.tv2.no/broom/gjor-du-dette-i-varmen-da-kan-bilen-forsvinne/15826895/ ↩︎

  13. Exposed VNC a major threat to Critical Infrastructure Sectors, August 2022: https://cyble.com/blog/exposed-vnc-a-major-threat-to-critical-infrastructure-sectors/ ↩︎

  14. Defending OT Operations Against Ongoing Pro-Russia Hacktivist Activity, May 1, 2024: https://www.cisa.gov/sites/default/files/2024-05/defending-ot-operations-against-ongoing-pro-russia-hacktivist-activity-508c.pdf ↩︎

  15. Threat Actors Continue to Exploit OT/ICS through Unsophisticated Means, September 25, 2024: https://www.cisa.gov/news-events/alerts/2024/09/25/threat-actors-continue-exploit-otics-through-unsophisticated-means ↩︎

  16. »Koden var 1234«: For første gang er dansk vandforsyning blevet angrebet af prorussiske hackere, 24. jan. 2025: https://jyllands-posten.dk/indland/ECE17839480/koden-var-1234-for-foerste-gang-er-dansk-vandforsyning-blevet-angrebet-af-prorussiske-hackere/ ↩︎

  17. Vandværk hacket: Fjernadgang var ikke sikret godt nok, 24 Jan 2025: https://danskevv.dk/nyheder/vandvaerk-hacket-fjernadgang-var-ikke-sikret-godt-nok/ ↩︎

  18. Remote Access (FTP and VNC) in iX Developer 2.0: https://files.beijerelektronik.com.tr/downloads/IX_Developer/remote_access_control.pdf#page=2 ↩︎

  19. iX2 HMI software: https://www.beijerelectronics.no/nb-NO/Products/software/ix-hmi-software ↩︎

  20. Control solutions with X2 HMI panels: https://www.beijerelectronics.com/en/Products/Control___systems/X2___with___CODESYS___control ↩︎

  21. Mandiant/Google Cloud: APT44: Unearthing Sandworm: https://services.google.com/fh/files/misc/apt44-unearthing-sandworm.pdf ↩︎

  22. Analysis of the Cyber Attack on the Ukrainian Power Grid, SANS ICS, March 18, 2016: https://web.archive.org/web/20160327163355/https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf ↩︎

  23. Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace, October 19, 2020: https://www.justice.gov/archives/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware-and ↩︎

  24. UK exposes series of Russian cyber attacks against Olympic and Paralympic Games, Published 19 October 2020: https://www.gov.uk/government/news/uk-exposes-series-of-russian-cyber-attacks-against-olympic-and-paralympic-games ↩︎

  25. Intelligence agencies of Russia: https://en.wikipedia.org/wiki/Intelligence_agencies_of_Russia ↩︎

  26. United States District Court, Central District of California, Case No. 2:25-cr-00577-FMO: https://www.courthousenews.com/wp-content/uploads/2025/12/united-states-vs-dubranova-indictment-one.pdf ↩︎

  27. Tiltalen nevner at CARR benyttet Stresser.Tech https://stresser.tech, selv om det ikke er klart at det var abonnement hos dem CYBER_ICE betalte. ↩︎

  28. GRU og FSB er rivaler som angivelig ikke samarbeider godt. ↩︎

  29. Z-Pentest Alliance: https://t.me/s/zpentestalliance ↩︎

  30. Sandworm Z-Pentest Alliance: https://t.me/zpentestalliance/4 ↩︎

  31. Pro-Russian hacktivism: Shifting alliances, new groups and risks, Jul 2, 2025: https://www.intel471.com/blog/pro-russian-hacktivism-shifting-alliances-new-groups-and-risks ↩︎

  32. https://t.me/zpentestalliance/45 ↩︎

  33. Z-Pentest Alliance#OpNorway: https://t.me/s/zpentestalliance?q=%23OpNorway ↩︎

  34. Florø, Vestland county, Norway: https://t.me/zpentestalliance/35 ↩︎

  35. Pro-Russia Hacktivists Conduct Opportunistic Attacks Against US and Global Critical, Infrastructure, December 9, 2025: https://media.defense.gov/2025/Dec/09/2003840175/-1/-1/0/JOINT_CSA_PRO-RUSSIA_HACKTIVISTS_CONDUCT_ATTACKS_AGAINST_CRITICAL_INFRASTRUCTURE.PDF ↩︎

  36. straffeloven, § 351. Skadeverk: https://lovdata.no/lov/2005-05-20-28/§351 ↩︎

  37. straffeloven § 201. Uberettiget befatning med tilgangsdata, dataprogram mv.: https://lovdata.no/lov/2005-05-20-28/§201 ↩︎

  38. straffeloven § 204. Innbrudd i datasystem: https://lovdata.no/lov/2005-05-20-28/§204 ↩︎

  39. straffeloven, § 130. Påvirkning fra fremmed etterretning: https://lovdata.no/lov/2005-05-20-28/§130 ↩︎

  40. Prop. 42 L (2023 – 2024) Endringer i straffeloven mv. (påvirkning fra fremmed etterretning): https://www.regjeringen.no/contentassets/4494d5fc9bc24664b9830ddeab05603e/no/pdfs/prp202320240042000dddpdfs.pdf ↩︎

  41. Forskrift om sikkerhet og beredskap i kraftforsyningen (kraftberedskapsforskriften): https://lovdata.no/dokument/SF/forskrift/2012-12-07-1157 ↩︎

  42. Terrorism in Norway: https://en.wikipedia.org/wiki/Terrorism_in_Norway ↩︎

  43. One Weak Password, Full Process Control: Inside Norway’s 2025 Dam Cyberattack, Jul 01, 2025: https://www.radiflow.com/radiflow-labs/inside-norway-2025-dam-cyberattack-radiflow/ ↩︎

  44. PST bekymret over ansatte i norske virksomheter: Har kritisk tilgang, men nekter å snakke, 14. februar 2025: https://www.dn.no/magasinet/reportasje/politiets-sikkerhetstjeneste/pst/dag-rojhell/pst-bekymret-over-ansatte-i-norske-virksomheter-har-kritisk-tilgang-men-nekter-a-snakke/2-1-1777253?shareToken=SjjrslK6tX ↩︎

  45. PSTs forebyggingssamtaler beveger seg i rettsstatens yttergrense, Publisert 7. mars 2025: https://www.dn.no/innlegg/overvakning/sikkerhetspolitikk/jus/psts-forebyggingssamtaler-beveger-seg-i-rettsstatens-yttergrense/2-1-1788796 ↩︎

  46. PST meiner prorussiske hackarar står bak damsabotasje: – Må vere budd på meir, Publisert 13. aug. 2025: https://www.nrk.no/vestland/pst-peiker-pa-prorussiske-hackarar-etter-damsabotasje-1.17526400 ↩︎

  47. PST mener prorussiske hackere stod bak sabotasje – henlegger likevel saken, Publisert 3. okt. 2025: https://www.nrk.no/vestland/pst-mener-prorussisk-hackergruppe-stod-bak-dam-sabotasje-pa-vestlandet-og-datainnbrudd-pa-ostlandet-1.17587446 ↩︎

  48. NTB: PST tror prorussiske hackere sto bak cyberangrep – henlegger sakene, Publisert: 03.10.2025: https://www.aftenposten.no/norge/i/5E9Axz/pst-tror-prorussiske-hackere-sto-bak-cyberangrep-henlegger-sakene ↩︎

  49. Britannica Editors. “sabotage.” Encyclopedia Britannica, November 18, 2025. https://www.britannica.com/topic/sabotage-subversive-tactic↩︎

  50. Finnish court drops Eagle S cable damage case over lack of jurisdiction, 03 October 2025: https://www.helsinkitimes.fi/finland/finland-news/domestic/28063-finnish-court-drops-eagle-s-cable-damage-case-over-lack-of-jurisdiction.html ↩︎

  51. Vil undersøke om hendinga er utført på vegner av ein framand stat, Publisert 13. juni 2025: https://www.nrk.no/vestland/kripos-og-pst-om-hacking-av-damventil_-vil-undersoke-om-hendinga-er-utfort-av-ein-framand-stat-1.17454156 ↩︎

  52. Nasjonal trusselvurdering 2025: https://www.pst.no/globalassets/2025/nasjonal-trusselvurdering-2025/nasjonal-trusselvurdering-2025_no_web.pdf#page=12 ↩︎

  53. Nasjonal trusselvurdering 2024: https://www.pst.no/globalassets/2024/nasjonal-trusselvurdering-2024/nasjonal-trusselvurdering-2024_uuweb.pdf#page=30 ↩︎

  54. Den utvidete utenriks- og forsvarskomité: https://www.stortinget.no/no/Representanter-og-komiteer/Komiteene/Andre-faste-komiteer/den-utvidete-utenriks--og-forsvarskomite/ ↩︎

  55. «se spøkelser ved høylys dag». I: Bokmålsordboka. Språkrådet og Universitetet i Bergen. https://ordbokene.no/bm/105413 ↩︎